Производство стало самой атакуемой промышленной отраслью не из-за одной критической уязвимости, а из-за самой архитектуры современных заводов: тесная связка IT и OT (операционные технологии или технологическая/производственная инфраструктура), постоянный удалённый доступ подрядчиков, зависимость от устаревших систем и высокая цена простоя. Исследователи Dragos проанализировали и выяснили, что производственные среды тесно связаны, интегрированы и зависят от систем, которые нельзя быстро остановить для обновления или проверки.
Главная цель вымогателей
Производство оказалось главным сектором для атак вымогателей среди промышленных организаций. В 2025 году на него пришлось более двух третей жертв программ-вымогателей (ransomware) в индустриальной среде. Dragos отслеживал 119 группировок вымогателей, атаковавших промышленные организации; это примерно на 49% больше, чем в 2024 году. Совокупно они затронули более 3300 организаций — почти вдвое больше, чем годом ранее.
При этом вымогателям не обязательно добираться до программируемых логических контроллеров, датчиков или промышленных протоколов. Производство может остановиться, если атакующие шифруют виртуализационный слой.
В 2025 году Dragos наблюдал сценарии, где злоумышленники через легитимные учётные данные и удалённый доступ доходили до ESXi-гипервизоров. Последствия — потеря видимости, остановка операторских интерфейсов и нарушение управления производственными процессами.
IBM X-Force в отчёте за 2025 год также называет производство самой атакуемой отраслью четвёртый год подряд. В выборке IBM производственный сектор сталкивался с вымогательством, кражей данных, атаками на финансовые активы и интеллектуальную собственность.
Verizon в отраслевом срезе DBIR 2025 фиксирует резкий рост числа подтверждённых утечек в производстве: 1607 подтверждённых инцидентов против 849 годом ранее. Для крупных производственных организаций ransomware фигурировал в 39% утечек, а для малого и среднего бизнеса — в 88% ransomware-связанных утечек. В том же срезе Verizon отмечает рост роли третьих сторон: их участие в утечках в производстве выросло с 15% до 30%.
Архитектура сокращает путь к атаке
Одна из главных причин быстрого распространения ransomware — общие домены IT и OT. Сегментация IT и OT часто звучит как базовая рекомендация, но на практике её сложно внедрить. Производственные площадки развивались годами: оборудование подключали постепенно, подрядчики настраивали удалённый доступ, новые системы интегрировали со старыми, а документация могла устареть.
В результате появляются прямые маршруты между офисной и производственной сетью, общие учётные записи, неограниченные VPN-доступы, слабый контроль межсетевых экранов и сервисы, о которых служба безопасности узнаёт только после инцидента.
Dragos пишет, что почти в половине производственных обследований находили среды, где корпоративная IT-сеть и операционная технологическая среда не были нормально разделены. Это самый высокий показатель среди секторов и более чем втрое выше, чем в нефтегазе и электроэнергетике.
Общая IT/OT-архитектура создаёт прямую дорогу от офисной сети к производственным системам. Если атакующий закрепился в корпоративной сети, а между IT и OT нет нормальных барьеров, инцидент быстро оборачивается остановкой производства. Для вымогателей в таком сценарии не нужны глубокие знания промышленных протоколов — достаточно украденных учётных данных, удалённого доступа и плоской сети.
*Плоская сеть — сеть без нормального разделения на зоны и сегменты. В ней разные системы могут свободно «видеть» друг друга и обращаться друг к другу напрямую.
Удалённый доступ: необходимый инструмент и опасный канал
Производственные предприятия зависят от подрядчиков, интеграторов и поставщиков оборудования. Им нужен удалённый доступ для диагностики, обслуживания, обновления и устранения аварий. Полностью отказаться от него обычно нельзя.
Но плохо настроенный удалённый доступ становится одним из главных путей атаки. Риск растёт, если используются общие учётные записи, постоянные VPN-подключения, слабая многофакторная защита, отсутствие журналирования и слишком широкие права.
Для вымогателей удалённый доступ удобен тем, что выглядит легитимно. Атакующий может использовать настоящий аккаунт подрядчика или администратора и двигаться по сети без явных признаков вредоноса.
CISA в Cross-Sector Cybersecurity Performance Goals указывает, что для активов систем управления многофакторная аутентификация должна включаться везде, где это возможно, особенно при удалённом доступе, а также для инженерных станций и человеко-машинного интерфейса (HMI).
Отсутствие наблюдаемости
Большая проблема производства — отсутствие наблюдаемости. В 30% кейсов реагирования Dragos за 2025 год расследование начиналось не с детекта, а с ощущения, что «что-то не так». В большинстве таких случаев нужные данные для проверки киберинцидента просто не собирались. OT-телеметрия быстро стирается: если её не записали в момент события, восстановить картину позже сложно или даже невозможно.
Производственные сети плохо замечают действия, которые выглядят как обычное администрирование. В 56% сетевых пентестов производственные среды не могли выявить активность злоумышленника с использованием стандартных инструментов администрирования — PowerShell, RDP и WMI. Меньше 5% протестированных сред имели включённое логирование выполнения PowerShell.
Реагирование — тоже слабое место
У многих производственных площадок нет зрелого плана реагирования именно для OT/ICS. Dragos пишет, что 24% производственных объектов не имели плана реагирования на инциденты в OT/ICS — это самый высокий показатель среди секторов. При остановке производства такие компании вынуждены реагировать без понятного сценария, достаточности наблюдаемых данных и даже данных для оценки масштаба атаки.
Обычный IT-план восстановления в производстве тоже не работает. В офисной сети можно изолировать машину, переустановить систему, восстановить данные из резервной копии и вернуть пользователя к работе. В производстве любое действие должно учитывать технологический процесс, безопасность людей, состояние оборудования, допустимость остановки и порядок перезапуска.
Например, нельзя просто выключить инженерную станцию, если через неё идёт критичное обслуживание. Нельзя необдуманно перезапустить сервер, если от него зависит видимость процесса. Нельзя восстанавливать образ системы без проверки совместимости с контроллерами и промышленным ПО.
Почему управление уязвимостями в OT отличается от IT
В IT-среде патч часто можно установить или обновить быстро: есть окно обслуживания, резерв, массовое обновление, перезагрузка. В OT всё сложнее. Оборудование может работать годами без остановки, производитель уже не поддерживает старую версию, обновление требует сертификации, а перезапуск линии стоит дорого.
Из-за этого Dragos делает акцент на риск-ориентированном подходе. Важно понять, какие уязвимости реально достижимы из сети, какие активы они затрагивают и какой ущерб может быть для процесса.
Приоритет должен получать не самый громкий CVE, а уязвимость на пути к критичному активу. Например, ошибка в системе, которая недоступна из сети, может быть менее срочной, чем слабая конфигурация удаленного доступа к инженерной станции.
NIST SP 800-82 и вовсе безапелляционно описывает OT как среду с особыми требованиями к надежности, производительности и безопасности, где защитные меры должны учитывать физический процесс.
Пять базовых мер защиты ICS
Dragos связывает практическую защиту с пятью критическими мерами SANS для ICS.
-
План реагирования на OT/ICS-инциденты. Он должен учитывать технологические процессы, роли инженеров, условия безопасной остановки и восстановления.
-
Защищаемая архитектура. Сюда входят сегментация, контроль маршрутов между IT и OT, ограничение доменных доверий, отдельные зоны и управление доступом.
-
Видимость и мониторинг ICS-сети. Нужно понимать, какие активы есть в OT, как они общаются, какие протоколы используются и какие события отклоняются от нормы.
-
Безопасный удалённый доступ. Подрядчики и инженеры должны подключаться через контролируемые каналы, с многофакторной аутентификацией, ограничением по времени и записью действий.
-
Риск-ориентированное управление уязвимостями. Приоритеты должны строиться вокруг реального производственного риска, а не только оценки CVSS.
Заключение
Производство стало самой привлекательной промышленной целью для ransomware, потому что остановка линии сразу создаёт финансовое давление на бизнес.
Главный риск часто лежит не в PLC и не в промышленных протоколах, а в архитектуре: общие IT/OT-домены, удалённый доступ, слабая сегментация и виртуализация, где живут SCADA, HMI и инженерные станции.
Атака на OT может выглядеть как обычный IT-инцидент, если затронута Windows-машина или VMware ESXi. Из-за такой классификации реальное влияние на производство часто замечают слишком поздно.
Вымогателям не нужна глубокая экспертиза в промышленной автоматике, если у них есть легитимные учётные данные и доступ к плоской сети.
Производственным компаниям не хватает телеметрии: многие инциденты начинаются с фразы «что-то не так», а не с точного сигнала системы обнаружения.
PowerShell, RDP и WMI остаются удобными инструментами для скрытого продвижения атакующих, потому что они похожи на обычные действия администраторов.
Для защиты важнее всего понимать, какие уязвимости достижимы из сети, какие активы они затрагивают и какой реальный ущерб могут нанести технологическому процессу.
